Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en productos CODESYS

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĂłn: 01/06/2022

Importancia:
Alta

Recursos afectados:

  • Todas las versiones anteriores a la V3.5.18.10 de los siguientes productos CODESYS V3:
    • CODESYS OPC DA Server SL.
  • Todas las variantes de los siguientes productos CODESYS V3 que contengan al menos uno de los componentes CmpBlkDrvTcp, CmpChannelServer o CmpChannelServerEmbedded en todas las versiones anteriores a la V3.5.18.10 estĂĄn afectadas, independientemente del tipo de CPU o sistema operativo:
    • CODESYS Control RTE (SL),
    • CODESYS Control RTE (para Beckhoff CX) SL,
    • CODESYS Control Win (SL),
    • CODESYS Gateway,
    • CODESYS Edge Gateway para Windows,
    • CODESYS HMI (SL),
    • CODESYS Development System V3,
    • CODESYS Control Runtime System Toolkit,
    • CODESYS Embedded Target Visu Toolkit,
    • CODESYS Remote Target Visu Toolkit.
  • AdemĂĄs, los siguientes productos basados en el kit de herramientas del sistema de tiempo de ejecuciĂłn de CODESYS Control V3 estĂĄn afectados en todas las versiones anteriores a la V4.5.0.0:
    • CODESYS Control para BeagleBone SL,
    • CODESYS Control para Beckhoff CX9020 SL,
    • CODESYS Control para emPC-A/iMX6 SL,
    • CODESYS Control para IOT2000 SL,
    • CODESYS Control para Linux SL,
    • CODESYS Control para PFC100 SL,
    • CODESYS Control para PFC200 SL,
    • CODESYS Control para PLCnext SL,
    • CODESYS Control para Raspberry Pi SL,
    • CODESYS Control para WAGO Touch Panels 600 SL,
    • CODESYS Edge Gateway para Linux.

DescripciĂłn:

Codesys ha publicado 3 vulnerabilidades, 1 de severidad alta y 2 medias, que podrían permitir a un atacante bloquear todas las conexiones o canales de comunicación TCP disponibles u obtener las contraseñas del PLC.

SoluciĂłn:

Actualizar a la versiĂłn V3.5.18.10 o a la V4.5.0.0, en funciĂłn del producto afectado.

Detalle:

La vulnerabilidad de severidad alta se debe a que las credenciales de la cuenta de CODESYS OPC DA Server, se almacenan en texto plano en el PLC, como parte de los paråmetros de conexión en el archivo de configuración. Esto permite a otros usuarios autorizados de Microsoft Windows del sistema que ejecuta el CODESYS OPC DA Server, puedan leer las contraseñas configuradas. Se ha asignado el identificador CVE-2022-1794 para esta vulnerabilidad.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2022-30791 y CVE-2022-30792.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Infraestructuras crĂ­ticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.